2024 ブロックチェーンセキュリティとアンチマネーロンダリング年次報告書 セキュリティ状況の解釈

先週、スローフォグプロダクションは「2024年ブロックチェーンセキュリティとアンチマネーロンダリング年次報告書」を発表しました。この報告書を4つの記事に分け、報告書の主要な内容を紐解き、分析することで、読者が現在のブロックチェーンエコシステムにおける主要なセキュリティ上の課題と機会について、より包括的かつ深く理解できるようにします。この記事では、主にブロックチェーンエコシステムのセキュリティ態勢に焦点を当てています。

セキュリティの分野では、2024年も過去の厳しい力学が続いている。ハッキング攻撃が頻発し、特に中央集権型プラットフォームに対する攻撃が優勢です。同時に、スマート・コントラクトの脆弱性とソーシャル・エンジニアリング攻撃は依然としてハッカーの主な悪の手段であり、フィッシング攻撃はより狡猾かつ巧妙になり、ユーザー資産の保護は引き続き大きな課題に直面している。サプライチェーンのセキュリティも2024年には大きな懸念となり、多くの有名プロジェクトが悪意のあるコードインジェクション攻撃を受け、多数のユーザー資産が失われる結果となった。

スローミスト・ハッキング（SlowMist Hacked）によると、2024年には410件のセキュリティインシデントが発生し、20億1300万ドルの損失が生じた。これを2023年（総インシデント数464件、損失額約24億8600万ドル）と比較すると、損失額は前年比で19.02％減少しています。

注：本レポートのデータは、インシデント発生時のトークン価格に基づいており、暗号通貨の価格変動や、いくつかの非公開インシデントによる損失が統計に含まれていないことなどの要因により、実際の損失は統計よりも高くなるはずです。

 (https://)hacked.slowmist.io/statistics/?c=all&d=2024)

典型的な攻撃

 (Top 10 Security Attacks with 2024 Losses)

DMMビットコイン

2024年5月31日、日本の暗号通貨取引所DMMビットコインは、公式ウォレット内の4,502.9BTCが不正送金されたと発表した。不正送金され、約482億円の損失が発生したと発表した。このDMM Bitcoinのセキュリティ事件は、暗号通貨ハッキング史上、損失額で7位にランクされ、2022年12月以降で最大の攻撃と言われている。一方、日本では過去に2度、大規模な暗号通貨取引所のハッキング事件が発生しており、2014年のMt.Gox事件と2018年のCoincheck事件で、それぞれ4億5000万ドルと5億3400万ドルが盗まれた。12月23日、FBI（連邦捜査局）、国防総省サイバー犯罪対策センター（DC3）、警察庁は、今回の盗難がTraderTraitorの脅威キャンペーンに関連しているとして注意喚起を行った。TraderTraitorは、Jade Sleet、UNC4899、Slow Piscesとしても追跡されています。TraderTraitorの活動は、通常、同じ会社の複数の従業員を標的としたソーシャルエンジニアリング攻撃によって特徴付けられます。

2024年3月下旬、LinkedInのリクルーターを装った北朝鮮のハッカーが、日本を拠点とするエンタープライズレベルの暗号通貨ウォレットソフトウェア会社Gincoの従業員に接触したと報告されています。このハッカーは、オンボーディングテストであるとして、GitHubにホストされている悪意のあるPythonスクリプトへのリンクを標的となった従業員に送信しました。その後、5月中旬にTraderTraitorのハッカーはセッションクッキー情報を使って攻撃された従業員になりすまし、Gincoの暗号化されていない通信システムへのアクセスに成功しました。5月下旬、ハッカーはこのアクセスを使ってDMM Bitcoinの従業員からの正当な取引要求を改ざんした可能性があり、その結果4,502.9 BTCが盗まれた。最終的に、盗まれた資金はTraderTraitorが管理するウォレットに送金された。

PlayDapp

2024年2月9日、ブロックチェーンゲームプラットフォームのPlayDappが攻撃を受け、ハッカーがPlayDappのトークン（PLA）を破りました。PlayDapp（PLA）トークンのスマートコントラクトが破られた。ハッカーは秘密鍵を不正に入手し、スマートコントラクトの所有権と造幣権限を自分のアカウントに変更した。ハッカーは既存の管理者の権限を削除し、2億PLAトークンを不正に鋳造した。2月12日、ハッカーは再び15億9000万PLAトークンを不正に鋳造したが、取引所がすでに凍結措置を取っていたため、市場流通は停止され、流通させることはできなかった。4月1日、PlayDappによると、ハッカーは15億PLAトークンを不正に鋳造することができた。2024年1月16日、PlayDappチームはハッカーから、主要なパートナー取引所からよく受け取る通常の情報要求メールと全く同じ件名、送信者メールアドレス（ユーザー名とドメイン名を含む）、内容を持つように注意深く作られた偽造メールを受け取った。分析によると、電子メールの添付ファイル内の悪意のあるコードが実行されると、被害者のコンピュータには改ざんされたリモートアクセス・マルチセッション・ツールがインストールされ、ハッカーによって遠隔操作された結果、管理者の秘密鍵が盗まれました。

WazirX

2024年7月18日、インドの暗号通貨取引所WazirXのマルチシグネチャウォレットが複数の不審な取引について監視されました。7月19日、WazirXがXプラットフォーム上で公開したサイバー攻撃の初期調査結果によると、WazirXはマルチシグネチャウォレットの1つに対してサイバー攻撃を受け、2億3000万ドル以上の損失を被った。このウォレットには6人の署名者（WazirXチームの5人とLiminalの1人）がおり、取引の検証を担当していた。各取引は通常、3人のWazirXチームの署名者の承認を必要とし、その全員がLedgerのハードウェアウォレットをセキュリティのために使用し、その後にLiminalの署名者が最終承認を行う。今回のサイバー攻撃は、Liminalのインターフェイスに表示されたデータと、実際に署名された内容とが一致しないことから発生した。wazirXは、ハッカーが負荷を置き換えることでウォレットのコントロールを自分自身に移したのではないかと疑っている。

BtcTurk

2024年6月22日、トルコの暗号通貨取引所BtcTurkが攻撃を受け、約9000万ドルの損失を被りました。BtcTurkは6月22日の声明で、"サイバー攻撃は当社のホットウォレットにある10の暗号通貨の残高の一部に影響を及ぼし、コールドウォレットに保管されている資産のほとんどは安全なままである。"と述べた。バイナンスのリチャード・テンCEOによると、バイナンスは盗まれた資産のうち530万ドル相当を凍結した。

Munchables

2024年3月27日、BlastのエコプロジェクトMunchablesが攻撃され、約6、2億5000万ドルの損失が発生しました。250万ドル。同日、ブラスト創設者のパックマンがツイートした。「コア・ブラストの貢献者はマルチ署名によって9700万ドルの資金を得た。最終的に身代金なしですべての資金を返却することを選択した元Munchables開発者に感謝します。"

ラディアント・キャピタル

2024年10月17日、Xへの投稿で、ラディアント・キャピタルは次のような認識を示しました。BNB ChainとArbitrumのRadiant貸出マーケットプレイスに問題があり、Baseとメインネットのマーケットプレイスで取引が停止されています。10月18日、Radiantはインシデント分析レポートを発表し、このインシデントにより約5,000万ドルの損失が発生したこと、ハッカーは高度なマルウェアインジェクション技術により少なくとも3人のコア貢献者のデバイスを侵害することに成功したこと、そしてこれらの侵害されたデバイスが悪意のある取引の署名に使用されたことを明らかにした。12月6日、Radiantはこの攻撃に関する最新情報を発表し、その中でRadiantが雇ったセキュリティ会社であるMandiantは、この攻撃は一般にAppleJeusまたはCitrine Sleetと呼ばれるUNC4736に起因するとしている。 Mandiantは、UNC4736が朝鮮民主主義人民共和国（DPRK）に関連していると強く確信している。朝鮮民主主義人民共和国（DPRK）。

BingX

暗号通貨取引所BingXの発表によると、2024年9月20日、シンガポール時間の20日午前4時頃。BingXのセキュリティシステムがホットウォレットに対する不正侵入を検知した。スローフォグのセキュリティ・チームによると、この事故により約4500万ドルの損失が発生した。MistTrack の分析によると、IndodaxのハッカーとBingXのハッカーには関連が疑われ、両者とも同じアドレスを使用してマネーロンダリングを行っており、北朝鮮のハッカーであるLazarus Groupを指しています。Hedgey Finance

2024年4月19日、Hedgey Financeは一連の悪質な取引を行ったハッカーに攻撃され、イーサリアムとアービトルムの両チェーンで合計約4470万ドルを失いました。インシデントの根本原因はインシデントの根本的な原因は、ユーザーパラメーターの入力に対する検証操作の欠如であり、ハッカーがトークンを操作し、無許可のトークン承認を得ることを可能にしていました。

Penpie

2024年9月4日、分散型流動性収益プロジェクトであるPenpieが攻撃され、ハッカーは約2,735万ドルの利益を得ました。2,735万米ドル。Slow Fogのセキュリティ・チームの分析によると、この事件は、Pendleのマーケットプレイスを新規登録する際に、PenpieがPendle Financeが作成したすべてのマーケットプレイスが正当なものであると誤って想定したことに端を発している。しかし、ペンドルファイナンスのマーケットプレイス作成プロセスはオープンで、誰でもマーケットプレイスを作成することができ、SY契約アドレスなどの重要なパラメーターはユーザーがカスタマイズすることができます。これを利用して、ハッカーたちは悪意のあるSY契約を含むマーケットプレイス契約を作成し、Penpieプールが報酬を受け取るために外部のSY契約に電話をかける必要がある仕組みを利用して、フラッシュクレジットの助けを借りてマーケットプレイスとプールに大量の流動性を追加し、報酬額を人為的に膨らませ、利益を得ました。

FixedFloat

2024年2月16日、オンチェーンデータによると、暗号通貨取引プラットフォームFixedFloatが攻撃を受けました。この攻撃に対し、FixedFloatは、ハッキングはセキュリティ構造の脆弱性に起因する外部からの攻撃であり、従業員によるものではなく、ユーザーの資金に影響はなかったと述べた。 4月2日、FixedFloatはXプラットフォーム上で、次のように述べた。が2月16日の攻撃と同じハッカーに再び攻撃された。ハッカーは、FixedFloatが使用しているサードパーティ・サービスの脆弱性を悪用した。この2つの攻撃により、FixedFloatは合計約2900万ドルの損害を被った。

ラグ・プル

ラグ・プルとは、悪意のあるプロジェクトのオーナーが、ユーザーから投資を集めるためのキャンペーンを行い、頃合いを見て「敷物を引き剥がす」という詐欺です。"毛布を引っ張り出して "お金を持ち逃げする。SlowMist Hackedブロックチェーンイベントアーカイブ（SlowMist Hacked）の統計によると、ラグ・プル・イベントは2024年に58件にのぼり、約1億600万ドルの損失をもたらしました。

（2024年に損失を出したラグ・プル上位10件。)

ミームコインブームでは、投機とFOMO感情に駆られた多くのユーザーが潜在的なリスクを無視した。発行者の中には、ユーザーにビジョンを描いたりホワイトペーパーを提供したりする必要すらなく、コンセプトやスローガンだけで、ユーザーをトークン購入に引き込むために熱を誇大にすることができ、悪のコストが低いため、多くの暴走事件を引き起こしている。

• 虚偽の宣伝・広告：技術力や市場ポテンシャルを誇張したり、虚偽の協力や有名人の推薦などの手段で、ユーザーに投資させる。

• 技術力や市場ポテンシャルを誇張したり、虚偽の協力や有名人の推薦をしたりすることで、ユーザーに投資を呼びかける。

• トークン価格の操作：プロジェクトのオーナーは通常、事前に大量のトークンを保有しており、市場価格を操作することで、ブームのような錯覚を起こし、より多くの資金を集める。

• トークン契約における抜け穴：スマートコントラクトにバックドアを残すことで、プロジェクトオーナーはいつでも資金を引き出したり、流動性プールを破壊することができます。

• 蒸発：実行前夜になると、プロジェクトのオーナーは公式ウェブサイトやソーシャルメディアのアカウントを閉鎖したり、投資家との接触を断つためにコミュニティを解散したりすることがよくあります。

悪質なプロジェクト側の手口を理解すると、こうした詐欺はユーザーの投機的な心理や高いリターンを求める気持ちにつけ込むことが多いことがわかります。この種の詐欺の被害者にならないためには、警戒を怠らず、予防と検証の能力を高めることが重要であり、以下の方法は、ユーザーが可能な限り実行されるプロジェクトへの参加を避けるのに役立ちます：

• プロジェクトの背景を確認する：チームメンバーの信憑性と経歴に注目し、以前のプロジェクトでの実績が乏しいかどうかを確認する。

• 監査を受けているかどうか：プロジェクトが専門的なセキュリティ監査を受けているかどうかを確認します。

• コミュニティからのフィードバックに注目する：プロジェクトのソーシャルメディアやフォーラムに参加し、コミュニティの活動や議論に注目する。

• 分散投資：1つのプロジェクトで大きな損失が出ないように、1つのプロジェクトに全財産を投資しないようにしましょう。

• 高利回りの誘惑に気をつける：

• 資金を失わないこと。|にできるようにあなたがそれをすることができます本当に出くわすことあなたは、実際には私たち約束、誰でも素早くはちょうど無視これらの一見正確にどのように{}人のことを忘れることができます。

レポート全文へのリンクは以下の通りです。また、元記事をクリックして直接ジャンプすることもできます。読んで共有することを歓迎します :)

中国語：https://www.slowmist. com/report/2024-Block.com/report/2024-Blockchain-Security-and-AML-Annual-Report(CN).pdf

英語：https://www.slowmist.com/report./2024-Blockchain-Security-and-AML-Annual-Report(EN).pdf

English: .